보안 취약점 관리자로서 회사 업무에 필요한 취약점 관리 기술과 용어를 정리하고, 각자의 필요에 맞게 취약점 관리 프레임워크를 구축할 수 있는 설치 방법, 실행 옵션, 예제 코드를 실습을 통해 꼼꼼히 살펴본다. 이 책의 목표는 실무자가 이 책의 코드를 따라하고 습득하면서 보안 취약점 관리의 모든 과정을 자동화할 수 있는 자신만의 취약점 관리 프레임워크를 만들어 업무에 활용하는 것이다.

◆ 정확하고 활용 가능한 취약점 정보 생성 방법
◆ 네트워크 시스템 스캔으로 버그와 취약점을 알아내고 평가하는 방법
◆ 다양한 보안 리스크의 우선순위를 정하고 대응하는 방법
◆ 스캔, 데이터 분석, 보고서 작성, 기타 반복적인 작업 자동화 방법
◆ 필요에 맞게 제공된 스크립트를 수정하는 방법

소규모 예산으로 자신이 속한 기업을 보호하고, 상업적으로 판매되는 취약점 관리 툴의 기능을 업무에 활용하고자 하는 보안 전문가를 위한 책이다. 절차로서의 취약점 관리에 익숙한 독자라면 쉽게 이해할 수 있을 것이다. 자신만의 취약점 관리 시스템을 만들려면 리눅스와 데이터베이스 개념에 익숙해야 하고 파이썬 같은 프로그래밍 언어에 경험이 있어야 한다. 이 책에 등장하는 스크립트는 파이썬으로 작성돼 있지만 자신이 선호하는 현대적인 스크립트 언어나 프로그래밍 언어를 사용해 기능적으로 동일하게 다시 작성해도 된다.

1장부터 15장까지 이론적인 내용부터 실무 안내까지 자연스럽게 흐름을 따라 읽는 방법도 있지만 경험이 많은 전문가라면 바로 관심 있는 특정 주제를 읽어도 좋다. 비슷하게 스크립트 역시 하나에서 다음 것으로 자연스럽게 살을 붙이며 만들어 간다. 그렇지만 각자 일하고 있는 환경에 어떤 툴과 절차가 이미 갖춰져 있는지에 따라 그때그때 단편적인 방식으로 적용해도 무방하다.
각 장을 요약하면 다음과 같다.
1장, ‘기본 개념’에서는 취약점 관리의 기본적인 개념과 리스크 관리로 연관되는 방식을 소개한다.
2장, ‘정보 수집’에서는 취약점 관리 절차를 진행하기 위해 수집해야 할 데이터의 다양한 형태를 살펴본다.
3장, ‘취약점 스캐너’에서는 취약점을 발견하고자 네트워크에 있는 시스템을 스캔하는 절차를 알아본다.
4장, ‘취약점 관리 자동화’에서는 데이터를 모으고 모은 데이터를 분석하는 자동화 시스템을 만드는 방법을 설명한다.
5장, ‘취약점 처리 방법’에서는 수집한 취약점 정보에 대해 무엇을 할지 설명한다. 패치를 적용하거나 완화 조치를 취하거나 리스크를 수용하는 방법이 있다.
6장, ‘조직 내 지원과 사내 정치’에서는 조직 내에서 취약점 관리를 관철시키는 방법에 대한 정보를 제공한다.
7장, ‘환경 구성’에서는 기반이 되는 OS를 갖추고, 필요한 패키지를 설치하고, 모든 것을 최신으로 유지해주는 스크립트를 작성하는 방법을 설명한다.
8장, ‘데이터 수집 툴의 사용법’에서는 엔맵, cve-서치, 오픈VAS, 메타스플로잇을 사용하는 방법을 알아본다.
9장, ‘자산 데이터베이스와 취약점 데이터베이스 생성’에서는 스캔 결과를 데이터베이스로 가져오는 방법을 보여준다.
10장, ‘데이터베이스 유지 관리’에서는 키를 추가하고 오래된 데이터를 삭제 처리하는 내용을 다룬다.
11장, ‘자산 보고서와 취약점 보고서 만들기’에서는 자산과 취약점에 대해 기본적인 CSV 보고서를 생성하는 방법을 깊이 파고들어 본다.
12장, ‘스캔과 보고서 작성 자동화’에서는 엔맵과 오픈VAS 스캔을 자동화하고 주기적으로 보고서를 생성하는 스크립트 작성법을 설명한다.
13장, ‘보고서 작성 고급화’에서는 HTML을 사용해 수준 높은 보고서를 만들어본다.
14장, ‘고급 주제’에서는 API를 만들고 공격 자동화를 알아본 후 클라우드도 살펴본다.
15장, ‘마무리’에서는 향후 보안 트렌드에 대한 정보를 알아보고 그런 트렌드가 우리 취약점 관리 절차를 어떻게 바꿔놓을 것인지 살펴보면서 책을 끝낸다.

크고 화려한 문제에 많은 이목이 집중되는 것이 인간의 본성이다. 국가의 지원을 받는 공격 팀인 지능형 지속 위협(APT, Advanced Persistent Threat) 그룹 같은 것이 딱 그런 문제다. APT와 연관된 공격자들은 대형 소매업자, 금융기관, 정부 네트워크까지도 침투해왔다. 그렇지만 온통 APT와 신문 헤드라인을 도배할 만한 다른 사건들에만 관심을 집중하다 보면 기본적인 문제를 놓치게 된다. 시스템을 방어해주는 최신 방화벽이 있고 트래픽을 모니터링하는 강력한 기기가 있다고 하더라도 가장 기본인 보안 책임감을 갖추고 있지 못하면 시스템을 약점투성이로 내버려 둔 셈이다. 시스템을 업데이트된 상태로 유지하는 일 같은 기본을 무시하면 심각한 결과를 초래할 수 있다.
이 책의 목표는 취약점 관리에 대한 지식이 하나도 없던 상태여도 실제로 동작하는 취약점 관리 시스템을 만들고 정확하고 유용한 취약점 정보를 찾아낼 수 있게 하는 것이다. 이를 통해 조직의 취약점 전망에 대한 이해도를 높이고 조직의 전반적인 보안 태세를 향상시킬 수 있을 것이다. 이 책을 끝까지 다 읽으면 각자가 속한 조직의 취약점 관리 능력을 강화할 수 있게 될 것이며 바로 그것이 성공적인 정보 보안 계획의 기본이라 할 수 있다.

앤드류 매그너슨(Andrew Magnusson)

20년 전쯤 방화벽 관리 담당자로 직업을 바꾼 후로 보안 엔지니어링, 취약점 분석, 컨설팅도 경험했다. 현재 스트롱DM(strongDM)에서 고객 담당 기술 팀을 맡고 있다. 아내, 딸, 고양이 두 마리와 함께 로드아일랜드에 살고 있다.

IT 분야에서 유능한 인재가 되려면 얼마나 많은 것을 알고 있었는지도 중요하지만 새로운 지식이나 기술을 얼마나 잘 흡수하고 이해하는지도 아주 중요하다. 업무를 통해 제품과 서비스, 기술을 익히는 속도보다 처음 접하는 용어와 신기술이 쏟아지는 속도가 훨씬 더 빠르다는 것에 스트레스를 느끼는 사람도 많다. 보안 취약점 대응 업무를 하는 분석가는 거의 모든 IT 기술을 알아야 할 정도로 습득해야 할 분야가 다양하다. 이 책에서 소개하는 방법을 따라 하면 분석가는 보안 취약점 관리 업무를 코드로 최대한 자동화해 처리할 수 있고 더 많은 시간을 전문 지식 습득과 업무에 활용할 수 있을 것이다. 반복되는 업무를 최대한 코드로 해결하고 데이터베이스에 깔끔하게 쌓는 일에 관심이 많은 나같은 사람에게 큰 되리라 믿는다. 이 책은 먼저 가벼운 마음으로 1부의 이론적인 내용을 훑어본 다음, 2부에서 본격적으로 등장하는 툴과 코드를 사용해 자신만의 취약점 관리 프레임워크를 구축하는 실습으로 구성돼 있다. 컴퓨터 앞에 앉아 책에 나오는 코드를 한 줄씩 이해하며, 마음껏 변경하고 실행 결과를 살펴보다 보면 여러 가지 취약점 관련 툴의 활용법을 체득할 수 있을 것이다. 각 툴의 장단점과 한계를 알게 되면 자신에게 잘 맞는 툴을 넣고 빼어 각자의 업무에 더 적합한 프레임워크를 구성해 회사에서 실전에 활용할 수 있기를 바란다. 이 책은 독특하게 각종 툴의 활용 방법과 예제 코드 안내에 그치지 않고 보안 취약점 전문가로서 다른 IT 실무자들의 원활한 협력을 얻어내는 방법까지도 소개하고 있는데, 6장에서 그 내용을 확인할 수 있다.

김홍석

마이크로소프트에서 윈도우와 애플리케이션 보안 취약점 대응 업무를 담당했고 지금은 김앤장 법률사무소에서 고객들의 해킹 사고 대응 및 개인정보 보호와 관련해 아이디어를 내고 있다. C#과 파이썬으로 코딩하기를 즐기며 사진 찍기를 좋아한다.